■PCI DSS遵守バリデーションの詳細

加盟店獲得・管理業務を行う加盟店契約会社（アクワイアラ）は、契約する全加盟店のペイメントカードデータセキュリティ基準（PSI DSS）基準の遵守について責任を負いますが、取引件数や決済システムにもたらされる潜在リスクや起こり得る損害の大きさにより、加盟店の遵守バリデーション要件は異なります。 
 
レベル1／2の加盟店向け保管禁止データの不所持の確認期限
加盟店契約会社には、レベル1／2加盟店が全磁気ストライプデータ（別名：トラックデータ）やCVV2コード、PINを含む、カードに関連した機密として扱われるべき認証データを取引認証後に保管していないことを、2009年9月30日までに確認することが義務付けられています。
 
* 期限経過後、Visaは必要なリスク管理施策を実施します。例えば、加盟店が保管禁止データを保管していないという遵守証明書を加盟店契約会社（アクワイアラ）がVisaに対して提出しなかった場合には、罰金が課されることがあります。
 
レベル1加盟店向けPCI DSS遵守バリデーションの期限
加盟店契約会社（アクワイアラ）には、レベル1の加盟店がPCI DSSを完全に遵守していることを、2010年9月30日までに証明することが義務付けられています。
 
*　2010年9月30日以降、Visaは必要なリスク管理施策を実施します。例えば、レベル1加盟店がPCI DSSに完全に遵守していることを証明できなかった場合には、罰金が課されることがあります。
 
レベル1、2、3加盟店の遵守報告
AISプログラムの要件を加盟店が満たしていることを確実に保証するため、アクワイアラにはレベル1、2、3の加盟店の遵守状況を、以下のとおり、年2回報告することが義務付けられています。

• レベル1加盟店の遵守状況を個別に記した報告書
• レベル2加盟店の遵守状況を個別に記した報告書
• レベル3加盟店の遵守状況を総合的な数値で記した報告書

■加盟店のレベルとPCI DSSバリデーション要件

Visaは、取引件数やビザ決済システムにもたらされる潜在的リスクや起こり得る損害の大きさに基づいて加盟店を分類し、それぞれのレベルにおいて適用される遵守バリデーション要件を策定しました。 
加盟店は年間の取引件数により、4つのレベルに分類されます。取引件数は、ある事業名（DBA）を使用して活動する加盟店の全てのVisa取引（クレジットカード、デビットカード、プリペイドカードなど）の総件数を基に計算されます。加盟店が複数の事業名を持つ会社の場合、加盟店契約会社はその加盟店の名称で行われた保管、処理、送信といった全ての取引の総件数を基にバリデーションのレベルを決定しなくてはなりません。データの統合がされておらず、したがって、加盟店が複数のDBAを統括してカード会員情報を保管、処理、送信していない場合、加盟店契約会社は当該加盟店の個別の取引件数によりバリデーションのレベルを決定します。
 
また、加盟店が複数の加盟店契約会社と同時並行で契約している場合（マルチアクワイアリング）、加盟店としての取引件数の総和をもってレベルを判断します。
 

レベル/  段階	加盟店基準	バリデーション要件
1	Visa取引件数が年間600万件を越える加盟店（全チャネル）、もしくはVisaグローバルのレベルで、レベル1と認定される加盟店	認定セキュリティ評価ベンダー（QSA）または内部監査人1作成による年次遵守報告書（ROC） 認定脆弱性スキャニングベンダー（ASV）による四半期毎の脆弱性スキャン 遵守証明書
2	Visa取引件数が年間100万件以上、600万件以下の加盟店（全チャネル）	-年次自己評価問診票 （SAQ） ASVによる四半期毎の脆弱性スキャン 遵守証明書
3	Visa e コマース取引件数が年間2万件以上、100万件以下の加盟店	-年次自己評価問診票 ASVによる四半期毎の脆弱性スキャン 遵守証明書
4	Visa e コマース取引件数が年間2万件未満の加盟店、およびVisa取引件数が年間100万件未満のその他すべての加盟店	-年次自己評価問診票（推奨） ASVによる四半期毎の脆弱性スキャン（適合する場合） カード会社が設定した遵守バリデーション要件

 

• 加盟店がPCI DSS評価を内部監査人に行わせる場合は…遵守証明書には当該加盟店の役員（代表取締役、最高財務責任者、最高技術責任者など）が署名しなければなりません。
• 遵守証明書の様式― 「PCI DSS要件（PCI DSS Requirements）」と「セキュリティ評価手順（Security Assessment Procedures）」の別紙D

■テクノロジー・イノベーション・プログラム

TIPは、ペイメント・システムを保護して、カード会員データのセキュリティ確保につながるセキュリティ・プラクティスを促進するというVisaの継続的な取組みの一環です。 このプログラムは、犯罪者にとっての取引データの価値を下げるEMV技術の使用を奨励するものです。    2011年3月31日をもって、Visaは、米国外の適用基準を満たす加盟店がペイメント・カード・インダストリー・データ・セキュリティ・スタンダード（PCI DSS）の年1回の再確認評価を停止することを認めます。 適用基準を満たす加盟店は、大きなコスト削減を実現して、削減できた資金を動的データ処理に対応するためのその他の技術に再投資することができるようになります。

 

加盟店の最低適用条件

プログラムの適用対象となりメリットを得るには、加盟店は以下のすべての基準を満たさなければなりません。

1. 加盟店は過去にPCI DSSへの準拠を確認しているか、またはギャップ分析に基づいて準拠を達成するための是正計画をVisaに（アクワイアラー経由で）提出している。 2. 加盟店は、PCI DSSに規定されているように機密性の高い認証データ（磁気ストライプ、CVV2、PINデータの全コンテンツ）が保管されていないことを確認している。 3. 加盟店の合計取引件数の75％以上が、IC対応の読取装置1（接触型端末および／またはデュアル・インターフェース接触型端末／非接触型端末）にて発生している。 4. 加盟店は、カード会員データの侵害に関与してはならない（侵害に関与した加盟店は、後にPCI DSSの準拠を確認できれば、TIPの適用基準を満たすことができる）。

取引の大半がeコマースおよびMO/TOアクセプタンス・チャネルからの加盟店を含むプログラムのEMV端末要件を満たしていない加盟店は、Visaのコンプライアンス・プログラムに従って、依然として年1回PCI DSSの準拠確認を行うことが義務付けられています。   すべての加盟店は依然として継続的なPCI DSSへの準拠が義務付けられ、顧客のデータを保護すること要求されます。 アクワイアラーは、加盟店のPCI DSSへの準拠に全責任を負うことに加えて、データ侵害が発生した場合に適用されるフィー、罰則、または罰金についても責任を負います。